作为开发人员时刻要记住一句话，永远不要相信任何用户的输入！很多时候我们的网站会因为我们开发人员写的代码不够严谨，而使网站受到攻击，造成不必要的损失！下面介绍一下如何防止SQL注入！
这里提供了一个函数，用来过滤用户输入的内容！使用POST传值的时候，可以调用这个函数进行过滤！
<?php

/**
 * Created by PhpStorm.
 * User: Administrator
 * Date: 2019/8/20
 * Time: 15:22
 */
class 防XSS防SQL注入的代码
{
    /**
     * 过滤参数
     * @param string $str 接受的参数
     * @return string
     */
    static public function filterWords($str)
    {
        $farr = array(
            "/<(\\/?)(script|i?frame|style|html|body|title|link|meta|object|\\?|\\%)([^>]*?)>/isU",
            "/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",
            "/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dump/is"
        );
        $str = preg_replace($farr,'',$str);
        return $str;
    }

    /**
     * 过滤接受的参数或者数组,如$_GET,$_POST
     * @param array|string $arr 接受的参数或者数组
     * @return array|string
     */
    static public function filterArr($arr)
    {
        if(is_array($arr)){
            foreach($arr as $k => $v){
                $arr[$k] = self::filterWords($v);
            }
        }else{
            $arr = self::filterWords($arr);
        }
        return $arr;
    }

}

